Partage de technologie

Configuration expérimentale de base du pare-feu

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

1. Topologie expérimentale

2. Exigences expérimentales :

1. Les serveurs de la zone DMZ ne sont accessibles que dans la zone des bureaux pendant les heures de bureau (9h00-18h00) et les équipements de la zone de production sont accessibles tout au long de la journée.
2. L'accès à Internet n'est pas autorisé dans les zones de production, mais l'accès à Internet est autorisé dans les zones de bureaux et pour les touristes.
3. Le périphérique de bureau 10.0.2.10 n'est pas autorisé à accéder au serveur FTP et au serveur HTTP dans la zone DMZ. Il ne peut envoyer qu'un ping à 10.0.3.10.
4. La zone de bureau est divisée en département marketing et département R&D. Le département R&D dispose d'une adresse IP fixe et utilise une authentification anonyme pour accéder à la zone DMZ. Le service marketing demande aux utilisateurs de lier les adresses IP et d'accéder à la zone DMZ. ne nécessite aucune authentification ;
Le nombre de personnes dans la zone des visiteurs n'est pas fixe et l'accès à la zone DMZ et à la zone de production n'est pas autorisé. Les utilisateurs invités sont uniformément utilisés pour se connecter, et le mot de passe est Admin@123. Les visiteurs ont uniquement l'autorisation d'accéder à l'entreprise. portail et surfer sur Internet. L'adresse du portail est 10.0.3.10 ;
5. Lorsque la zone de production accède à la zone DMZ, une authentification protale est requise et la structure organisationnelle des utilisateurs de la zone de production est configurée. Elle comprend au moins trois départements, chaque département a trois utilisateurs et le mot de passe unifié de l'utilisateur est openlab123. La première connexion doit être modifiée.
Modifiez le mot de passe, définissez le délai d'expiration de l'utilisateur sur 10 jours et l'utilisateur n'est pas autorisé à être utilisé par plusieurs personnes.
6. Créez un administrateur personnalisé qui ne peut pas disposer de fonctions de gestion du système.

3. Idées de configuration

1. Mettez d'abord en œuvre « l'interopérabilité complète du réseau » (l'interopérabilité complète du réseau peut être obtenue lorsque le pare-feu est uniquement utilisé comme routeur. En fait, en raison du pare-feu, les politiques correspondantes doivent être écrites pour établir la communication), configurez l'IP et la couche 2. configuration telle que sur LSW1 Configurez le vlan et définissez les sous-interfaces du périphérique pare-feu G1/0/1 comme sous-interfaces de passerelle de vlan2 et vlan3 respectivement.

2. Configurez certaines politiques sur le pare-feu (y compris les politiques de sécurité et les politiques d'authentification) via l'interface Web. Commencez par créer des interfaces et divisez les zones.

4. Processus expérimental :

(1) Configurez l'adresse IP de chaque appareil (omise) et configurez le VLAN de l'appareil de deuxième couche :

LSW1:

  1. [LSW1]inter g0/0/2
  2. [LSW1-GigabitEthernet0/0/2]port link-type access 
  3. [LSW1-GigabitEthernet0/0/2]port default vlan 2
  4. [LSW1]inter g0/0/3
  5. [LSW1-GigabitEthernet0/0/3]port link-type access 
  6. [LSW1-GigabitEthernet0/0/3]port default vlan 3
  7. [LSW1]inter g0/0/1
  8. [LSW1-GigabitEthernet0/0/1]port link-type trunk 
  9. [LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

FW2:
L'interface G0/0/0 est configurée avec une adresse IP. L'adresse IP du cloud vers la machine locale accessible via ENSP est 192.168.100.2, le pare-feu est donc configuré avec 192.168.100.1.

Interface G1/0/0 :

G1/0/1 crée une sous-interface et une zone de sécurité (en prenant comme exemple la zone bureau, il faut également créer une sous-interface dans la zone de production)

Zone de sécurité. Sélectionnez la sous-interface que vous venez de créer ici pour diviser le segment de réseau en dessous dans cette zone de sécurité.

Sous-interface de l'espace de production (configuration déjà créée) :

G1/0/4(zone touristique)

G1/0/2 (Internet) :

G1/0/3 (sauvegarde Internet) :

(2) Politique de sécurité :
1. Les serveurs de la zone DMZ ne sont accessibles que dans la zone des bureaux pendant les heures de bureau (9h00-18h00) et les équipements de la zone de production sont accessibles tout au long de la journée.

2. L'accès à Internet n'est pas autorisé dans les zones de production, mais l'accès à Internet est autorisé dans les zones de bureaux et pour les touristes.

La zone de production n'est pas accessible

Les espaces bureaux et visiteurs ont accès à :

3. Le périphérique de bureau 10.0.2.10 n'est pas autorisé à accéder au serveur FTP et au serveur HTTP dans la zone DMZ. Il ne peut envoyer qu'un ping à 10.0.3.10.

test:

4. La zone de bureau est divisée en département marketing et département R&D. Le département R&D dispose d'une adresse IP fixe et utilise une authentification anonyme pour accéder à la zone DMZ. Le service marketing demande aux utilisateurs de lier les adresses IP et d'accéder à la zone DMZ. ne nécessite aucune authentification ;
Le nombre de personnes dans la zone des visiteurs n'est pas fixe et l'accès à la zone DMZ et à la zone de production n'est pas autorisé. Les utilisateurs invités sont uniformément utilisés pour se connecter, et le mot de passe est Admin@123. Les visiteurs ont uniquement l'autorisation d'accéder à l'entreprise. portail et surfer sur Internet. L'adresse du portail est 10.0.3.10 ;

Stratégie de certification du département R&D : certification gratuite

Stratégie d'authentification du service marketing : authentification anonyme

Accès invité à DMZ10.0.3.10 (l'accès des visiteurs au DZM et aux zones de production est refusé par défaut) :

5. Lorsque la zone de production accède à la zone DMZ, une authentification professionnelle est requise et la structure organisationnelle des utilisateurs de la zone de production est configurée. Elle comprend au moins trois départements, chaque département dispose de trois utilisateurs et le mot de passe unifié de l'utilisateur est openlab@. 123. La première connexion doit être modifiée.
Modifiez le mot de passe, définissez le délai d'expiration de l'utilisateur sur 10 jours et l'utilisateur n'est pas autorisé à être utilisé par plusieurs personnes.

6. Créez un administrateur personnalisé qui ne peut pas disposer de fonctions de gestion du système.

Profil personnel

Il se consacre à la recherche technologique depuis plus de 30 ans et maîtrise divers langages tels que java, linux, javascript, php, css, etc. Il a apporté de nombreuses contributions dans le domaine de l'open source. station de documentation pour les développeurs pour partager certains problèmes de développement technologique pour référence future.

mes coordonnées

Mail